ArguePatch Malware brugt i cyberangreb på Ukraine
Sikkerhedsforskere har set mere aktivitet fra Sandworm avancerede vedvarende trussel-aktør. Sandworm bruger nu en opdateret version af ArguePatch malware loader til at angribe flere mål i Ukraine.
ArguePatch blev brugt i en række angreb mod ukrainske enheder, da den russiske invasion af nabolandet begyndte. Sammen med den første militære aktion på ukrainsk jord gennemførte russisk-tilknyttede trusselsaktører en række angreb ved hjælp af destruktiv wiper-malware, rettet mod ukrainske institutioner og ved hjælp af værktøjer kaldet CaddyWiper, HermeticWiper og IsaacWiper. Disse angreb brugte en tidligere version af ArguePatch malware loader.
Navnet ArguePatch blev tildelt af Ukraines CERT. Den opdaterede version af loaderen har funktionalitet, der gør det muligt for operatører at køre et senere trin af angrebet på et bestemt tidspunkt. Denne tilføjelse får angrebskæden til at udføres uden behov for at konfigurere en planlagt opgave ved hjælp af interne Windows-værktøjer og hjælper med at undgå registrering.
Den opdaterede ArguePatch distribueres ved at misbruge en lovlig eksekverbar ESET-fil, som har fået fjernet sin digitale signatur og dele af koden inde i den ændret.